Billets (page 2)
Trivy compromis : Chainguard offre 12 mois gratuits et une leçon supply chain
Suite à l'incident Trivy de mars 2026, Chainguard propose 12 mois d'images Trivy gratuites. Au-delà de l'offre commerciale, l'incident illustre une leçon essentielle : une chaîne de build indépendante réduit l'impact d'une release compromise, et ce que cela change pour vos pipelines DevSecOps.
Lire l'article KICS et LiteLLM compromis : deux nouvelles attaques supply chain qui confirment un changement d’échelle
Après Trivy, de nouvelles compromissions touchent la GitHub Action KICS et les paquets PyPI de LiteLLM. Analyse des vecteurs, du malware, des impacts et des mesures à prendre.
Lire l'article Trivy compromis une seconde fois : la release v0.69.4 était empoisonnée
Trois semaines après l’attaque initiale, Trivy a subi un second incident : release v0.69.4 compromise, propagation via Homebrew, registres de conteneurs et GitHub Actions.
Lire l'article GitHub Actions : 15 pièges de sécurité qui exposent vos pipelines
En 2025, des attaques comme Shai Hulud v2, GhostAction et tj-actions/changed-files ont compromis des dizaines de milliers de dépôts via GitHub Actions. La cause ? Toujours les mêmes erreurs : tags mutables, permissions trop larges, injection de commandes, pull_request_target mal utilisé. Cet article passe en revue 15 pièges exploités, l'écosystème d'outillage encore immature et vous donne les remèdes pour blinder vos pipelines.
Lire l'article Trivy vidé après une attaque supply chain par un bot IA
Ce dimanche, en voulant installer Trivy via mise, je tombe sur une erreur 404. Le dépôt GitHub aquasecurity/trivy est vide. Ce que je pensais être un bug s'avère être une attaque supply chain : un bot IA autonome a compromis un PAT, supprimé toutes les releases, renommé le dépôt et publié une extension VS Code malveillante. Chronologie complète et leçons.
Lire l'article
Veille sécurité CI/CD : post-quantum, signatures et correctifs critiques (janvier 2026)
La sécurité de la supply chain est devenue mon fil rouge depuis plusieurs mois. Ce billet passe en revue les mises à jour importantes de janvier 2026 : age v1.3.0 introduit le chiffrement post-quantum, cosign v3.0.4 corrige une vulnérabilité dans la vérification offline, Buildah patche des CVE dans ses dépendances runtime. Voici ce que ça change pour vos pipelines et comment agir dès lundi matin.
Lire l'article
v3.11 : navigation améliorée et examens plus pédagogiques
V3.1 a refondu la navigation, amélioré les roadmaps et optimisé les examens sur mobile. V3.11 transforme les examens en outil d'apprentissage : explications enrichies et liens directs vers la doc après soumission.
Lire l'article
Zéro lien cassé : automatiser la détection avec Lychee
Comment éliminer définitivement les liens cassés de votre documentation grâce à Lychee, un outil rapide qui scanne 10 000 liens en 30 secondes.
Lire l'article La V3 du site est en ligne : Retour sur 6 ans d'évolution
Le site passe en V3 : nouveau design, glossaire interactif, quiz intégrés, et une base technique entièrement recodée. Retour sur le chemin parcouru.
Lire l'article
Docker Hardened Images : la guerre des images durcies gratuites est lancée
Docker vient de rendre ses Docker Hardened Images (DHI) gratuites et open source sous licence Apache 2.0. Je compare en profondeur avec Chainguard : tailles réelles (mesurées avec ORAS), CVE, SBOM, provenance SLSA L3, et cas d'usage.
Lire l'article DevSecOps 2026 : monter d'un cran nos exigences
Les attaques se multiplient. SolarWinds, Log4Shell, XZ Utils... chaque année apporte son lot de compromissions massives. En tant qu'acteurs de l'automatisation, nous ne pouvons plus considérer la sécurité comme un sujet « à part ». J'ai décidé d'injecter des rappels de sécurité dans l'ensemble de ma documentation et de développer massivement la section Sécuriser. Tour d'horizon des axes de travail.
Lire l'article
Des images 10× plus petites, 0 CVE : Chainguard change la donne
Les images standards embarquent des paquets inutiles et des CVE. Avec les images Chainguard, bénéficiez d’images minimalistes avec SBOM, provenance et patchs rapides. Comparatif, cas d’usage et guide de migration.
Lire l'article